题目乍一看我第一反应是使用php://input伪协议,但是构建payload发现并不能实现,可能是phpinfo()中allow_url_fopen没有开启,导致不能使用php://input
但是源代码中由要求payload中存在php://,同时题目也告诉了flag就在/flag中,此时我们可以想到使用php://filter
可以直接构造payload:?file=php://filter/resource=/flag,即可得出flag
如果需要以base64编码形式输出,payload:?file=php://filter/read=convert.base64-encode/resource=/flag